Vous cherchez un modèle de DPA (Data Processing Agreement) conforme à l’article 28 du RGPD ? Le voici, complet et prêt à adapter. Un DPA — ou accord de sous-traitance — est obligatoire dès qu’un sous-traitant traite des données personnelles pour le compte d’un responsable de traitement : hébergeur, éditeur SaaS, agence marketing, expert-comptable en charge de la paie. L’absence de DPA ou un DPA incomplet constitue un manquement autonome, sanctionnable indépendamment de tout incident : la CNIL a sanctionné SLIMPAY de 180 000 € (délibération SAN-2021-020) et Dedalus Biologie de 1,5 million d’euros (délibération SAN-2022-009) en visant notamment l’article 28.
Ce guide contient le modèle complet, clause par clause, puis explique comment l’adapter à votre situation. Pour le cadre juridique détaillé, voir notre guide de l’article 28 RGPD et notre guide complet du DPA.
Les 8 clauses obligatoires de l’article 28(3) RGPD
L’article 28(3) impose que le contrat de sous-traitance contienne au minimum :
- L’objet, la durée, la nature et la finalité du traitement, les catégories de données et de personnes concernées ;
- Le traitement uniquement sur instruction documentée du responsable de traitement, y compris pour les transferts hors UE ;
- L’engagement de confidentialité des personnes autorisées à traiter les données ;
- Les mesures de sécurité de l’article 32 ;
- Le régime de la sous-traitance ultérieure (autorisation écrite préalable, générale ou spécifique) ;
- L’assistance pour répondre aux demandes d’exercice des droits ;
- L’assistance pour les obligations des articles 32 à 36 (sécurité, notification de violation, AIPD) ;
- La suppression ou restitution des données en fin de contrat, et la mise à disposition des informations nécessaires aux audits.
La Commission européenne a publié des clauses contractuelles types dédiées à l’article 28 (décision d’exécution (UE) 2021/915 du 4 juin 2021), utilisables telles quelles. Le modèle ci-dessous en reprend la substance dans un format plus opérationnel.
Modèle complet d’accord de sous-traitance (DPA)
ACCORD DE SOUS-TRAITANCE DE DONNÉES PERSONNELLES
Entre : [Société X], [forme, capital, RCS, siège], ci-après le « Responsable de traitement » Et : [Société Y], [forme, capital, RCS, siège], ci-après le « Sous-traitant »
Article 1 — Objet. Le présent accord encadre le traitement de données personnelles réalisé par le Sous-traitant pour le compte du Responsable de traitement dans le cadre du contrat principal du [date], conformément à l’article 28 du règlement (UE) 2016/679 (« RGPD »).
Article 2 — Description du traitement.
- Nature des opérations : [collecte, hébergement, consultation, extraction…]
- Finalité(s) : [ex. : hébergement de la solution SaaS de gestion RH]
- Catégories de données : [identité, coordonnées, données de connexion…]
- Catégories de personnes concernées : [salariés, clients, prospects…]
- Durée du traitement : durée du contrat principal.
Article 3 — Instructions. Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale de droit de l’Union ou d’un État membre. Dans ce cas, il informe le Responsable de traitement avant le traitement, sauf interdiction légale. Le Sous-traitant informe immédiatement le Responsable de traitement si une instruction constitue, selon lui, une violation du RGPD.
Article 4 — Confidentialité. Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Article 5 — Sécurité. Le Sous-traitant met en œuvre les mesures techniques et organisationnelles prévues à l’article 32 du RGPD, décrites en Annexe 2, incluant notamment : chiffrement des données en transit et au repos, gestion des habilitations, journalisation, sauvegardes testées, procédure de gestion des incidents.
Article 6 — Sous-traitance ultérieure. Le Sous-traitant ne recrute pas d’autre sous-traitant sans l’autorisation écrite préalable [générale / spécifique] du Responsable de traitement. En cas d’autorisation générale, le Sous-traitant informe le Responsable de traitement de tout changement envisagé (liste en Annexe 3), lui laissant [30] jours pour formuler des objections. Le Sous-traitant impose à ses sous-traitants ultérieurs les mêmes obligations que celles du présent accord et demeure pleinement responsable de leur exécution.
Article 7 — Droits des personnes. Le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits (articles 15 à 22 du RGPD). Il transmet sans délai toute demande reçue directement, sans y répondre lui-même.
Article 8 — Violations de données. Le Sous-traitant notifie au Responsable de traitement toute violation de données personnelles dans les meilleurs délais et au plus tard [24/48] heures après en avoir pris connaissance, avec les informations de l’article 33(3) du RGPD.
Article 9 — Assistance. Le Sous-traitant aide le Responsable de traitement à garantir le respect des obligations des articles 32 à 36 du RGPD (sécurité, notifications, analyses d’impact, consultation préalable), compte tenu de la nature du traitement et des informations à sa disposition.
Article 10 — Sort des données. Au terme du contrat, le Sous-traitant, au choix du Responsable de traitement, supprime ou restitue toutes les données personnelles, et détruit les copies existantes, sauf obligation légale de conservation. La suppression est attestée par écrit.
Article 11 — Audit. Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer le respect du présent accord et permet la réalisation d’audits, y compris des inspections, par le Responsable de traitement ou un auditeur mandaté, moyennant un préavis de [15] jours.
Article 12 — Transferts hors UE. Tout transfert vers un pays tiers est encadré par une décision d’adéquation ou des garanties appropriées de l’article 46 du RGPD (clauses contractuelles types 2021/914), complétées le cas échéant par une analyse d’impact de transfert.
Annexes : 1. Description détaillée du traitement — 2. Mesures de sécurité — 3. Liste des sous-traitants ultérieurs autorisés.
Comment adapter ce modèle
Qualifiez d’abord les rôles. Ce DPA suppose une relation responsable de traitement / sous-traitant. Si votre prestataire détermine lui-même les finalités et les moyens, il est responsable de traitement ou responsable conjoint (article 26) et le montage contractuel est différent. Sur les critères de qualification, voir les lignes directrices EDPB 07/2020.
Choisissez le régime de sous-traitance ultérieure. L’autorisation générale (avec droit d’objection) est la norme dans le SaaS ; l’autorisation spécifique se justifie pour les données sensibles ou les traitements critiques. Complétez l’Annexe 3 avec la liste réelle des sous-traitants — exigez-la de votre prestataire, c’est un point de contrôle CNIL classique en matière de sous-traitance cloud.
Précisez le délai de notification des violations. L’article 33(2) dit « dans les meilleurs délais » : fixez contractuellement 24 ou 48 heures, sinon vous ne tiendrez jamais votre propre délai de 72 heures de notification à la CNIL.
Détaillez l’Annexe sécurité. Une annexe vide ou générique (« mesures conformes à l’état de l’art ») ne satisfait pas l’article 32. Listez des mesures vérifiables, alignées sur votre politique de sécurité : chiffrement, MFA, PRA/PCA, tests d’intrusion.
Erreurs courantes
- Signer le DPA du prestataire sans le lire. Les DPA des grands fournisseurs plafonnent souvent la responsabilité et diluent le droit d’audit. Négociez au minimum la liste des sous-traitants ultérieurs et le délai de notification.
- Oublier les prestataires « invisibles » : outil de ticketing, CRM, solution d’emailing, prestataire de destruction d’archives. Chaque sous-traitant doit avoir son DPA — croisez avec votre registre des traitements.
- Ne pas documenter les instructions. Le DPA renvoie à des « instructions documentées » : conservez-les (annexe, bons de commande, tickets).
- Ignorer les transferts hors UE opérés par le sous-traitant lui-même (support US, hébergement de secours). Vérifiez la localisation réelle des données, pas seulement celle du siège.
- Aucun suivi en cours de contrat. Le DPA n’est pas un document mort : vérifiez annuellement les annexes et les changements de sous-traitants. Un outil comme Legiscope permet de centraliser vos DPA et de les relier automatiquement aux traitements de votre registre.
FAQ
Le DPA est-il obligatoire même pour un petit prestataire ?
Oui. L’article 28(3) ne prévoit aucun seuil : dès qu’un tiers traite des données personnelles pour votre compte, un contrat écrit — y compris sous forme électronique, par exemple au moyen d’une signature électronique conforme à eIDAS — est obligatoire. La taille du prestataire ou le volume de données n’y change rien.
Puis-je utiliser les clauses types de la Commission européenne ?
Oui. La décision (UE) 2021/915 fournit des clauses types article 28 utilisables sans modification de fond (texte sur EUR-Lex). Attention : ce ne sont pas les mêmes que les clauses de transfert 2021/914, qui traitent des flux hors UE — les deux jeux peuvent se cumuler.
Qui doit rédiger le DPA : le client ou le prestataire ?
En pratique, le prestataire propose souvent son DPA standard. Juridiquement, les deux parties sont responsables de son existence et de sa conformité : la CNIL a sanctionné aussi bien des sous-traitants (SLIMPAY, Dedalus) que des responsables de traitement pour des contrats lacunaires.
Que risque-t-on sans DPA ?
Une amende administrative jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83(4) RGPD), et une exposition contractuelle majeure en cas d’incident : sans DPA, la répartition des responsabilités se plaide au lieu de se lire.
Conclusion
Un bon DPA tient en douze articles et trois annexes : les huit clauses de l’article 28(3), un délai de notification court, une annexe sécurité concrète et une liste de sous-traitants à jour. Utilisez le modèle ci-dessus comme base, adaptez les annexes à chaque prestataire, et auditez vos contrats existants — c’est l’un des premiers documents demandés lors d’un contrôle CNIL.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial